¿Qué es el cifrado PGP y cómo utilizarlo?

13min

En la era digital actual, donde la comunicación por correo electrónico es omnipresente, la seguridad y la privacidad de nuestros mensajes se han vuelto una preocupación primordial. Aunque los proveedores de correo profesional ofrecen ciertas medidas de seguridad, el contenido de tus correos electrónicos puede no estar tan protegido como crees. Aquí es donde entra en juego PGP (Pretty Good Privacy), una de las herramientas de cifrado de extremo a extremo más robustas y confiables disponibles.

PGP permite que solo tú y el destinatario previsto leáis un mensaje, incluso si este es interceptado en el camino. Tradicionalmente, PGP se ha asociado más con clientes de correo de escritorio. Sin embargo, la buena noticia es que también puedes integrar el poder de PGP directamente en tu webmail, permitiéndote cifrar y descifrar correos sin salir de tu navegador web.

Índice

¿Qué es el cifrado PGP?

PGP (Pretty Good Privacy) es un programa de cifrado que proporciona privacidad criptográfica y autenticación para la comunicación de datos. Fue creado por Phil Zimmermann en 1991 y se ha convertido en un estándar de facto para el cifrado de correo electrónico.

A diferencia de la seguridad que ofrece tu proveedor de correo (que a menudo solo cifra la conexión entre tu dispositivo y sus servidores, dejando el correo en texto plano una vez almacenado), PGP ofrece cifrado de extremo a extremo.

Esto significa que el mensaje se cifra en tu dispositivo y solo se descifra en el dispositivo del destinatario, haciendo que sea ilegible para cualquiera en el medio, incluidos los servidores de correo.

La importancia de las claves públicas y privadas

El funcionamiento de PGP se basa en un sistema de criptografía asimétrica o de clave pública. Cada usuario tiene un par de claves:

  • Clave pública. Es como una cerradura abierta que puedes compartir libremente con cualquier persona. Tus contactos la usarán para cifrar mensajes que solo tú (con tu clave privada) podrás abrir. También pueden usarla para verificar tu firma digital.
  • Clave privada. Es como la llave única de esa cerradura. Debe permanecer siempre secreta y segura en tu dispositivo. Solo con ella podrás descifrar los mensajes que te envíen cifrados con tu clave pública o firmar digitalmente tus propios mensajes.

Para que PGP funcione, tú y tus contactos deben intercambiar sus respectivas claves públicas.

Firma digital y autenticidad

PGP no solo cifra mensajes, también permite la firma digital. Cuando firmas un correo electrónico con tu clave privada, el destinatario puede usar tu clave pública para verificar que:

  • El mensaje realmente proviene de ti (autenticidad).
  • El mensaje no ha sido alterado desde que lo firmaste (integridad).

Esta capacidad de asegurar tanto la privacidad como la autenticidad hace de PGP una herramienta invaluable para cualquier comunicación sensible.

Herramientas para usar el cifrado PGP en webmail

Dado que los servicios de webmail no suelen tener PGP integrado de forma nativa, necesitarás algunas herramientas adicionales. La solución más común y eficiente es el uso de extensiones de navegador.

Extensiones de navegador para PGP

Las extensiones de navegador actúan como un puente entre tu webmail y tu gestión de claves PGP, permitiéndote cifrar y descifrar directamente desde la interfaz del navegador. Las opciones más populares incluyen:

  • Mailvelope. Es una de las extensiones más robustas y populares para Chrome, Firefox y Edge. Proporciona una interfaz fácil de usar para gestionar tus claves PGP, cifrar y descifrar correos en la mayoría de los servicios de webmail (Gmail, Outlook.com, Yahoo Mail, etc.) y soporta OpenPGP.
  • OpenPGP.js. Aunque no es una extensión de usuario final per se, es una biblioteca JavaScript que muchas extensiones y algunas plataformas de webmail seguras utilizan internamente para implementar las funcionalidades PGP en el navegador.

Generar y gestionar tus claves PGP

Antes de poder cifrar y descifrar mensajes, necesitarás generar tu propio par de claves PGP (pública y privada). La mayoría de las extensiones de navegador, como Mailvelope, incluyen una funcionalidad para generar estas claves directamente.

Al generar tus claves, considera:

  • Longitud de la clave. Elige una longitud de clave fuerte (ej. 4096 bits para RSA).
  • Frase de contraseña. Protege tu clave privada con una frase de contraseña robusta y única. Esta frase es crucial; sin ella, tu clave privada es vulnerable.
  • Fecha de expiración. Puedes establecer una fecha de expiración para tus claves por razones de seguridad, aunque esto no es obligatorio.

Una vez generadas, la extensión gestionará tu llavero de claves, permitiéndote importar claves públicas de tus contactos y exportar la tuya para compartirla.

Consideraciones de seguridad y confianza (Web of Trust)

PGP se basa en el concepto de la Web of Trust (Red de Confianza). A diferencia de las Autoridades de Certificación centralizadas, en PGP tú confías en las claves de otras personas porque personas en las que ya confías han firmado esas claves.

Cuando importes la clave pública de un contacto, podrás (y deberías) verificar su autenticidad fuera de línea (por ejemplo, por teléfono o en persona) y luego firmarla con tu propia clave para indicar que confías en esa clave específica. Esto ayuda a construir una red de confianza que valida la autenticidad de las claves.

Instalación y configuración de Mailvelope para webmail

Mailvelope es una de las soluciones más recomendadas para integrar PGP en tu webmail. Aquí te explicamos cómo instalarla y configurarla.

Instalación de la extensión en tu navegador (Chrome/Firefox/Edge)

El proceso de instalación de Mailvelope es similar al de cualquier otra extensión de navegador:

  1. Abre tu navegador: abre Chrome, Firefox o Edge.
  2. Visita la tienda de extensiones: Para Chrome: Chrome Web Store Para Firefox: Firefox Add-ons Para Edge: Microsoft Edge Add-ons
  3. Busca Mailvelope: utiliza la barra de búsqueda para encontrar «Mailvelope».
  4. Añadir la extensión: haz clic en «Añadir a Chrome», «Añadir a Firefox» o «Obtener» (en Edge). Confirma la instalación cuando se te solicite.
  5. Pincha en el icono (opcional): una vez instalada, aparecerá un icono de Mailvelope (un sobre con una llave) en la barra de herramientas de tu navegador. Si no lo ves, haz clic en el icono de extensiones (pieza de puzzle) y pínchalo para que esté siempre visible.

Generación de tu primer par de claves PGP con Mailvelope

Tras la instalación, Mailvelope te guiará para generar tus claves:

  1. Abre Mailvelope: haz clic en el icono de Mailvelope en tu navegador.
  2. Asistente de bienvenida: sigue el asistente de bienvenida. En algún momento, te ofrecerá «Generar Clave».
  3. Introduce tus datos:
    • Nombre: tu nombre o el nombre que quieres que aparezca asociado a tu clave.
    • Dirección de correo electrónico: la dirección de email con la que usarás PGP. Es crucial que sea la misma que usas en tu webmail.
    • Contraseña: crea una frase de contraseña fuerte. Repítela para confirmación.
  4. Generar la clave: haz clic en «Generar». El proceso puede tardar unos segundos o minutos dependiendo de la longitud de la clave y el rendimiento de tu PC.
  5. Copia de seguridad de la clave privada: Mailvelope te ofrecerá descargar un archivo con tu clave privada.

Importar claves públicas de tus contactos

Para poder enviar correos cifrados a tus contactos, necesitarás sus claves públicas. Y para que ellos te envíen correos cifrados, deberás compartirles tu clave pública.

  • Recibir una clave pública. Si un contacto te envía su clave pública por correo (generalmente un archivo .asc o un bloque de texto que empieza con ‘BEGIN PGP PUBLIC KEY BLOCK’), puedes copiar ese texto o arrastrar el archivo a la sección de «Importar» en el llavero de claves de Mailvelope (accesible desde el menú principal de la extensión). También puedes buscar claves en servidores de claves públicas (Keyservers), aunque esto es menos común hoy en día para usuarios no técnicos.
  • Compartir tu clave pública. Desde el llavero de claves de Mailvelope, selecciona tu clave y busca la opción «Exportar clave pública». Guarda el archivo (.asc) o copia el bloque de texto y envíaselo a tus contactos por un medio seguro (ej. un mensaje cifrado, o incluso en persona si es muy crítico).

Enviando y recibiendo correos cifrados con PGP en webmail

Una vez que tienes Mailvelope configurado y tus claves listas, el proceso de cifrado y descifrado en tu webmail es muy sencillo.

¿Cómo cifrar y enviar un correo electrónico?

Para enviar un correo cifrado, necesitarás la clave pública de tu destinatario.

  1. Redacta un nuevo correo. Abre tu servicio de webmail (Gmail, Outlook, etc.) y comienza a redactar un nuevo correo electrónico como lo harías normalmente.
  2. Activa el cifrado PGP. Verás un icono de Mailvelope (a menudo un pequeño lápiz o candado) en el área de redacción de tu webmail, o en la barra de herramientas del navegador. Haz clic en él.
  3. Ventana de redacción segura. Mailvelope abrirá una ventana de redacción segura. Escribe tu mensaje en esta ventana.
  4. Selecciona el destinatario. Asegúrate de que la dirección de correo electrónico del destinatario es la misma que está asociada a la clave pública que tienes guardada en Mailvelope. Mailvelope detectará automáticamente si tienes la clave pública de ese destinatario.
  5. Cifrar el mensaje. Haz clic en el botón de cifrado (normalmente un icono de candado o «Encrypt»). Mailvelope cifrará el texto.
  6. Copiar al webmail. Una vez cifrado, Mailvelope copiará el texto cifrado (un bloque largo de caracteres incomprensibles) de vuelta al cuerpo de tu correo electrónico en el webmail.
  7. Enviar el correo. Envía el correo como lo harías normalmente. El destinatario recibirá un mensaje lleno de texto cifrado.

¿Cómo descifrar y leer un correo cifrado?

Cuando alguien te envía un correo cifrado con tu clave pública, el proceso de lectura es igualmente sencillo.

  1. Abre el correo cifrado. Abre el correo electrónico en tu webmail. Verás el bloque de texto cifrado que empieza con ‘BEGIN PGP MESSAGE’.
  2. Detectar cifrado. Mailvelope detectará automáticamente el mensaje cifrado en el cuerpo del correo. El icono de Mailvelope en la barra de herramientas de tu navegador se iluminará o mostrará una notificación.
  3. Descifrar el mensaje. Haz clic en el icono de Mailvelope. La extensión te mostrará el mensaje cifrado. Haz clic en el botón de descifrado (normalmente un icono de llave o «Decrypt»).
  4. Introduce tu frase de contraseña. Mailvelope te pedirá la frase de contraseña de tu clave privada para poder descifrar el mensaje. Introdúcela.
  5. Leer el mensaje. Una vez introducida la frase de contraseña, Mailvelope descifrará y mostrará el mensaje en texto legible en una ventana segura.

¿Cómo firmar digitalmente tus correos (opcional)?

Además de cifrar, puedes firmar digitalmente tus correos para probar su autenticidad.

  1. Redacta y cifra el correo. Sigue los pasos anteriores para redactar y cifrar tu correo.
  2. Activa la firma. Antes de cifrar, busca una opción para «Firmar» o «Sign» en la interfaz de redacción segura de Mailvelope.
  3. Cifrar y firmar. Procede a cifrar el mensaje. Mailvelope lo cifrará y añadirá una firma digital usando tu clave privada.
  4. Verificación del destinatario. El destinatario, al descifrar el mensaje, también verá una notificación de Mailvelope indicando que el mensaje está firmado y si la firma es válida, confirmando que proviene de ti y no ha sido alterado.

Consideraciones adicionales y mejores prácticas

Integrar PGP en tu webmail aumenta significativamente tu seguridad, pero hay algunas consideraciones y mejores prácticas que debes tener en cuenta.

Gestionar tus claves: Revocación y expiración

  • Revocación de claves. Si alguna vez sospechas que tu clave privada ha sido robada o expuesta, la debes revocar inmediatamente. La revocación invalida la clave pública asociada, impidiendo que nadie pueda cifrarte mensajes con ella o verificar firmas falsas. Mailvelope ofrece una opción para generar un certificado de revocación.
  • Expiración de claves. Aunque no es obligatorio, establecer una fecha de expiración para tus claves PGP puede ser una buena práctica de seguridad. Si tu clave expira y no la renuevas, automáticamente dejará de ser válida, mitigando el riesgo de un uso no autorizado a largo plazo si la clave se ve comprometida sin tu conocimiento.

Seguridad de tu frase de contraseña

Tu frase de contraseña para la clave privada es el último bastión de seguridad. Memorízala, no la guardes en tu ordenador o en un lugar fácilmente accesible. Es importante que sea larga y compleja, una frase de contraseña de al menos 15-20 caracteres, combinando palabras aleatorias, números y símbolos, es mucho más segura que una contraseña corta. Procura que sea única, no uses la misma frase de contraseña para otros servicios.

Almacenamiento seguro de claves de respaldo

La copia de seguridad de tu clave privada (el archivo .asc que descargaste al generarla) es invaluable. Guarda esta copia en un medio de almacenamiento offline, como una unidad USB cifrada que solo conectes cuando sea estrictamente necesario, o incluso imprímela en papel (paper backup) y guárdala en un lugar seguro bajo llave. Considera tener más de una copia de seguridad en ubicaciones físicas diferentes.

Limitaciones y escenarios de uso

PGP en webmail, a través de extensiones, es muy potente, pero tiene algunas limitaciones:

  • Dependencia del navegador. Si usas un navegador diferente o un dispositivo diferente, necesitarás reinstalar la extensión e importar tus claves.
  • No cifra metadatos. PGP solo cifra el cuerpo del mensaje y los archivos adjuntos. La dirección del remitente, del destinatario, el asunto y las marcas de tiempo no se cifran y siguen siendo visibles. Si los metadatos son críticos, necesitas considerar otras soluciones.
  • Curva de aprendizaje. Aunque las extensiones simplifican mucho el proceso, PGP sigue teniendo una curva de aprendizaje inicial para los usuarios no técnicos, especialmente en la gestión de claves y la Web of Trust.

PGP es ideal para comunicaciones que requieren confidencialidad del contenido y autenticidad del remitente, como el intercambio de información sensible, documentos legales o comunicaciones personales que necesiten un alto nivel de privacidad.

Conclusión sobre el cifrado PGP

La integración de PGP en tu webmail transforma tu bandeja de entrada en una fortaleza de seguridad. Al adoptar esta tecnología, tomas el control directo sobre la privacidad y la autenticidad de tus comunicaciones por correo electrónico. PGP en webmail es una herramienta poderosa para cualquier usuario o empresa que busque un nivel superior de confidencialidad en sus correos electrónicos. Es una inversión en tu tranquilidad digital, permitiéndote comunicar información sensible con la certeza de que solo los ojos adecuados la leerán.

Sergio Arias

Artículos relacionados

Productos relacionados: